快连
返回博客列表
LetsVPN局域网白名单, LetsVPN内网穿透, 路由分流配置教程, 局域网白名单设置步骤, VPN白名单使用场景, 内网无法访问解决办法, 白名单模式性能优化
局域网配置

LetsVPN局域网白名单设置:内网穿透配置指南

LetsVPN技术团队2025年12月23日阅读时间约 13 分钟
白名单内网穿透路由分流配置VPN

LetsVPN局域网白名单设置:3步完成内网穿透,兼顾安全与分流

问题定义:为什么必须给 LetsVPN 加局域网白名单

公司 NAS、打印机、测试服务器都在 192.168.x.x,一旦全局流量被 LetsVPN 接管,本地设备秒变“孤岛”。运营者最常见的痛点是:打开 VPN 后,内网 Samba 共享断开、Web 管理后台 404,甚至 SSH 也超时。白名单的作用就是告诉客户端:“这些地址别走隧道,直接走物理网卡”。

经验性观察:在 2025-12 更新的 2.3.14 桌面端与 2.3.12 移动端中,若未配置白名单,Windows 端会出现“5 秒内 ping 不通网关”的现象,可 100% 复现;而 Android 端因系统策略差异,表现为“时通时断”。

功能边界:白名单与分流规则的区别

LetsVPN 提供两条并行机制:①「局域网白名单」基于目标 IP 段绕过隧道;②「应用分流」基于进程名或 UID 决定是否代理。两者交集时,白名单优先级更高。举例:把 192.168.0.0/16 写进白名单后,即使 Chrome 被强制代理,访问 192.168.1.1 仍直连。

注意:白名单只对“目标地址”生效,不会替你放行广播包(255.255.255.255)或组播(224.0.0.0/4)。如果局域网发现依赖 mDNS,需要额外在系统防火墙放行端口 5353,否则 iPhone 隔空打印依旧找不到打印机。

最短可达路径:三端操作对照

Windows 10/11(客户端 2.3.14)

  1. 主界面右上角「≡」→「设置」→「高级」→「局域网白名单」;
  2. 在输入框内键入 192.168.0.0/16, 10.0.0.0/8(英文逗号分隔,无空格);
  3. 点击「保存」后立即生效,无需重连。

若公司网段拆分较细,可追加 172.16.0.0/12,最大支持 1024 字符。

macOS 12+(客户端 2.3.13)

  1. 顶部菜单栏 LetsVPN 图标→「Preferences…」→「Advanced」→「LAN Bypass」;
  2. 输入格式同上,支持 CIDR 与单行 IP 混写;
  3. 关闭窗口即时生效,但首次配置需输入系统密码写入路由表。

Android 13(客户端 2.3.12)

  1. 右滑侧边栏→「设置」→「网络」→「局域网白名单」;
  2. 点击「+」逐条添加,或使用「批量导入」粘贴 CIDR 列表;
  3. 确认后返回,开关会闪断 2 秒并重载 VpnService。

经验性观察:部分国产 ROM 对 VpnService 重载限制更严,若点击保存后隧道未自动恢复,手动关闭再打开一次即可。

例外与副作用:什么时候不该用白名单

场景 A:公司要求“所有流量必须经审计网关”。此时若把内网网段加入白名单,SSH 直连开发机会绕过审计,违反合规。解决思路:改用「应用分流」把开发工具排除,而不是整段 IP 绕过。

场景 B:家庭用户用 192.168.50.0/24,同时 NAS 又跑在公网 IPv6 的 240e 段。白名单仅对 IPv4 生效,IPv6 仍走隧道,结果手机 App 以 v6 地址访问 NAS 时速度被代理拖累。经验性观察:在「高级」里同时把 240e:abcd:1234::/48 加入白名单可缓解,但需确保 NAS 侧防火墙已放行相应源地址。

验证与回退:三步确认是否生效

  1. 打开命令行:tracert 192.168.1.1(Windows)或 traceroute 192.168.1.1(macOS/Linux);
  2. 若第一跳为 192.168.1.1 本身,说明已直连;若第一跳为 10.255.0.x 这类虚拟网卡地址,则仍走隧道;
  3. 如需回退,清空白名单输入框并保存,客户端会重载路由表,30 秒内恢复全局代理。

提示:Windows 用户可用「route print」查看活跃路由表,若看到 192.168.0.0 255.255.0.0 的 Gateway 为「在链路上」,即证明白名单生效。

与第三方内网穿透工具协同

不少团队用 frp、nps 把家里的 3389 映射到云主机。此时若 LetsVPN 全局代理,会把 frp 流量也送进隧道,导致绕路+断流。把 frp 服务器 IP 加入白名单即可,但注意:frp 若走域名,需先 dig 出实际 IP,再写进白名单;否则域名解析到多个 Anycode 节点时,白名单会部分失效。

经验性观察:2025 年主流云厂商的轻量服务器探活间隔约 30s,若频繁重载白名单,frp 会被动重连,CPU 占用短时升高 10% 左右,可接受。

故障排查:白名单不生效的 4 种可能

现象 最可能原因 验证动作 处置
tracert 仍走虚拟网卡 CIDR 写错,如 192.168.0.0/8 ipcalc 检查掩码 改为 /16
Android 保存后断网 10s ROM 禁止 VpnService 快速重载 adb logcat | grep Vpn 手动重连一次
macOS 提示写入失败 未给 LetsVPN 辅助功能权限 系统设置→隐私→辅助功能 勾选 LetsVPN
IPv6 ���旧绕行 仅写 IPv4 白名单 ping -6 nas.home 追加 IPv6 段

适用/不适用场景清单

  • 适用:家庭 NAS、无线投影、局域网游戏联机、公司内网 GitLab 仅走 443。
  • 不适用:强制审计环境、零信任架构、需要把内网流量也送进 SASE 做 DLP 的场景。
  • 灰色地带:远程办公需同时访问 AWS 私网与家用打印机,可用「拆分隧道+白名单」混合,但要接受双重路由维护成本。

最佳实践 6 条

  1. 先梳理网段,再写白名单,避免“全网大 /8”的粗暴做法;
  2. 用版本控制保存白名单列表,方便团队同步;
  3. 定期 traceroute 抽查,防止上游 DHCP 改动导致网段漂移;
  4. 不要把公网 IP 写进白名单,否则失去代理意义;
  5. 在合规要求高的公司,优先用「应用分流」而非 IP 白名单;
  6. IPv6 Prefix 长度建议 ≤56,避免运营商重分配导致失效。

版本差异与迁移建议

2025 年初的 2.2.x 版白名单条目上限为 256 字符,而 2.3.x 已放宽到 1024 字符;若旧版用户升级后发现条目被截断,可在「关于」里点击「修复配置」自动拆分。

经验性观察:从 2.2 直升 2.3 时,macOS 端需手动删除 ~/Library/Preferences/com.letsvpn.mac.plist 中的旧 lan_bypass 键值,否则会出现“保存成功但实际不生效”的幽灵问题。

未来趋势与总结

LetsVPN 在 2025 年 Q4 的公开路线图提到,将在 2.4 版引入「域名白名单」与「GeoSite 分流」,届时局域网白名单可能作为子模块被合并进更大的“智能分流”引擎。对运营者而言,当下掌握 CIDR 写法与路由验证方法,仍是性价比最高的技能。

一句话总结:先把 192.168.0.0/16、10.0.0.0/8、172.16.0.0/12 写进白名单,再用 traceroute 验证,30 秒即可让 NAS 和打印机复活;合规场景下改用应用分流,既满足审计也不牺牲本地体验。

分享这篇文章:

相关文章推荐